飞连
飞连
- 文档首页
飞连管理员指南终端安全安全策略配置防病毒策略配置配置文件情报库
文档反馈
问问助手飞连的文件情报功能依托于云端庞大的威胁情报中心,提供海量的高阶恶意文件特征库。通过配置文件情报库,管理员可以订阅钓鱼软件、木马、勒索软件等各类高级威胁情报,并将其无缝联动至终端防病毒检测引擎。一旦引擎检测到命中情报库的恶意文件,系统将自动按照您的病毒检测策略配置进行拦截、隔离或删除,全面提升企业防御未知和高隐蔽性威胁的能力。
终端防病毒引擎默认依赖本地病毒库和常规云查引擎进行检测,虽能覆盖绝大多数已知威胁,但仍存在更新时间差和高级威胁识别盲区。
检测机制 | 数据范围与更新机制 | 网络依赖性 | 核心定位与优势 |
|---|---|---|---|
本地病毒库 | 基础/全量特征:包含历史沉淀的最常见、最活跃的病毒特征。依赖固定的低频周期更新。 | 离线可用:完全依赖本地计算,断网环境依然有效。 | 底线防御:提供稳定、基础的病毒查杀能力,资源占用相对可控。 |
文件情报库 | 高阶/专项特征:聚焦当前最活跃的高级威胁(如新型木马、特定 APT 攻击)。通过高频动态订阅,将云端特定类型的最新情报下发并驻留至本地引擎。 | 离线可用:依赖网络从云端下载最新情报;情报特征一旦同步至终端,即使断网也能拦截命中情报的威胁。 | 前置拦截:利用高频更新的时效性,在本地病毒库尚未更新前,抢先拦截爆发初期的高隐蔽性威胁。 |
需存在已生效的病毒检测策略。文件情报库仅负责提供恶意特征线索,不具备独立的处置能力。当检测到命中情报库的文件时,系统需要依赖已生效的终端防病毒策略来决定放行或隔离。若防病毒策略未生效,文件情报也将无法执行拦截。
- 登录管理后台。
- 在左侧导航栏,选择终端安全 > 威胁情报。
- 单击文件情报页签,单击右上角的配置文件情报库。
- 在生效情报类型区域,选择情报类型。
- 在处置区域,确保开关处于启用状态,然后点击确定。
- 启用:已勾选的恶意文件威胁情报将同步至终端防病毒的检测引擎。
- 关闭:云端情报特征将不会下发至终端的防病毒引擎,即威胁情报不生效。
对于一些被威胁情报源误报的企业内部开发软件或可信文件,您可将其添加至统一的文件白名单中,以确保其正常运行。详细的操作步骤,请参见黑/白名单管理。
当命中文件情报产生告警后,会在病毒日志审计中展示对应的告警详情(数据源为“文件情报库”),具体请参见恶意文件监控与处置。